4月5日深夜から6日にかけて、豪Atlassianが運営するプロジェクト管理ツール「Trello」で個人情報が閲覧できるなどといった情報がネット上で注目を集めた。一日のToDoリストなど作業管理のために作成するボード機能の閲覧範囲を「公開」と設定していたことが原因だった。
ボードの公開機能は、例えばオープンなプロジェクトの進捗を外部に公開するといった用途に使うもので、適切に利用すれば問題はない。しかし、Trelloで顧客や採用活動などの情報を管理していた一部の企業ユーザーが、住所氏名などの個人情報、運転免許証やパスポートの画像をそのままアップロードし、“公開”状態にしてしまっていた。
その結果、Googleの検索にヒットし、外部から誰でも閲覧できる状態になっていたことからネット上で騒動に発展した。中には企業の採用担当者が、面接の結果、不採用とした学生を「頭が悪い」などと中傷するコメントを残していたことも発覚し、炎上に拍車を掛けた。
7日現在、多くのボードが非公開になったが、依然として検索結果にはキャッシュが残っていることから、一部の情報は閲覧できてしまう状態が続いている。Atlassianは「デフォルトでは『非公開』」と説明しており、現状ではユーザー側の設定ミスで誤って情報が全世界へ公開されてしまっていたとみるのが妥当だ。
こうした中、Trelloの設定画面の表記にも問題があったのではないかとする投稿がTwitterで注目を集めている。
投稿者のカニ(@kanizmb)さんは「『公開』という語が適切じゃないのではないか」と指摘。「公開」という表記を「全世界」に、「非公開」を「ボードメンバー」にそれぞれ改善するべきと提案した。
この投稿に対し、英語版のサービスに倣い、「プライベート」と「パブリック」のままでもいいのではないかとするリプライもあった。
同社の他のサービスでの表現との違いも、誤解の一因に考えられそうだ。同社のドキュメント作成ツール「Confluence」では「公開」ボタンをクリックし、編集した内容を反映するが、これはあくまで組織内で閲覧権限を付与されたメンバーにのみ公開される仕組みになっている。つまり、同じ「公開」という言葉でも、同社のサービスによって閲覧範囲が異なるのだ。
Trelloの場合、運営元は「インターネットに接続している全ての人がボードを閲覧できる」と記載しているとはいえ、Confluenceと同様にユーザーが「Trelloへのアクセス権限を持つ社内のメンバーに公開」と誤認した可能性も否定できない。
ネット上の反応を見ると、大半が閲覧設定の確認を怠ったことや、個人情報をTrello上で共有していた組織側のミスを批判するものだが、その一方で「『公開』を社内から見られるモード、『非公開』を自分だけ見れるモードと勘違いしたのでは」「日本語ローカライズ失敗問題は後世のために議論するべき」という意見も一部挙がっている。「(有料の)ビジネスプランに一般公開機能を削除したプランを用意してもいいのではないか」という指摘もあった。
今回の情報流出はユーザー側の設定ミスに起因するとみられるため、誤って情報を公開してしまっていた組織はITリテラシーを疑われても仕方がない。だが、サービスを提供する企業側にも改善の余地はありそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR